Zürcher Polizei stellt auf digitale Busszettel um – aber die Sache hat einen Haken

Seit heute verteilen die Polizistinnen und Polizisten in der Stadt Zürich die Bussen nur noch mit einem QR-Code-Zettel. Die Abschaffung des klassischen Einzahlungsscheins hinter dem Scheibenwischer ist ein schweizweiter Trend, dem schon mehrere Polizeien gefolgt sind.

Der Vorteil leuchtet ein: Wer gebüsst wird, kann die Rechnung mit dem Handy scannen und gleich online mit Kreditkarte, Twint oder der Postcard bezahlen. Den Gang zum Postschalter oder das Einloggen ins E-Banking erspart man sich.

Wer die Parkbusse bezahlen will, kann künftig den QR-Code scannen und die Rechnung online begleichen. (Source: Stadtpolizei Zürich)

QR-Code-Bussen können gefälscht werden

Seit die Stadt Zürich die Umstellung bekannt gab, häufen sich jedoch kritische Stimmen. In Internet-Foren und in der IT-Welt wird mehrfach auf die Gefahr vor gefälschten Busszetteln hingewiesen.

Myriam Dunn Cavelty, Expertin für Cybersicherheit an der ETH, sagt allgemein zur Thematik: "(Cyber-)kriminelle sind natürlich sehr innovativ und es ist sicherlich nicht völlig aus der Luft gegriffen, dass die Fälschung von QR-Codes ein neuer 'Scam' werden könnte."

Die Gefahr liegt im offenen Standard der QR-Codes, die dem Smartphone sagen, welche Webseite geöffnet werden soll. Jeder und jede kann im Internet mit wenigen Klicks einen eigenen solchen Code erstellen und auf ein Blatt Papier so ausdrucken, dass es wie eine Übertretungsanzeige der Stadtpolizei Zürich aussieht.

Der gefälschte QR-Code enthält eine Webadresse, die von offiziellen Polizei-Webadresse nicht auf den ersten Blick unterschieden werden kann. (Source: Watson)

Das birgt grosse Betrugsgefahr: Cyberbetrüger können in einem QR-Code eine beliebige Webseiten-Adresse packen, die zumindest augenscheinlich jener der Stadt Zürich zum Verwechseln ähnlich aussieht. Opfer, die solche gefälschten Busszettel mit ihrem Smartphone scannen, werden jedoch auf die Webseiten der Kriminellen weitergeleitet.

Watson-Recherchen zeigen, dass eine solche Betrugsmasche innert weniger Stunden aufgebaut werden kann. Das detaillierte Vorgehen wurde der Stadtpolizei Zürich mitgeteilt. Aufgrund von Nachahmergefahr wird auf die Bekanntgabe der Details in diesem Artikel verzichtet.

So erkennt man gefälschte Busszettel

In den letzten Jahren sei kein Fall bekannt geworden, bei dem Ordnungsbussen-Dokumente der Stadtpolizei gefälscht wurden, teilt die Medienstelle der Stadtpolizei Zürich auf Anfrage mit. Die Gefahr von solchen Manipulationen sei aber bekannt und diskutiert worden, sagt Stadtpolizei-Sprecher Michael Walker. Auf die Frage, warum man sich trotzdem für die Umstellung entschieden habe, nennt Walker Massnahmen, mit denen Betrugsversuche erkannt werden können:

• Hologramm überprüfen: Auf den Busszetteln wurde das Wappen der Stadt Zürich als Hologramm aufgedruckt. Gebüsste Personen können mit diesem Sicherheitsmerkmal kontrollieren, ob der Zettel echt ist.

• Sichere QR-Code-Scanner nutzen: Bürgerinnen und Bürger können im allgemeinen Umgang mit QR-Codes einen alternativen Scanner auf ihr Smartphone installieren, der den Inhalt und die Adresse hinter dem QR-Code prüft. Ein sicherer Scanner würde eine Warnung anzeigen, falls die Adresse auf eine ungesicherte, möglicherweise gefährliche Seite verweist.

• Kontrolldaten auf Polizei-Webseite vergleichen: Beim Login wird nach dem Nummernschild des Autos gefragt. Danach erscheint eine Übersicht mit den Details zur begangenen Übertretung. "Hier kann die gebüsste Person kontrollieren, ob die Angaben auf dem Strafzettel plausibel sind", sagt Polizeisprecher Walker.

• Webadresse der Polizei manuell eingeben: Wer den Einstieg via QR-Code auf das Bussenportal als zu unsicher erachtet, hat laut Walker die Möglichkeit, über einen Internetbrowser mit der Webadresse auf das Bussenportal der Stadtpolizei Zürich zu gelangen und so die Busse zu bezahlen.

Die Stadtpolizei Zürich teilt zudem mit, dass der Zahlungsvorgang über eine verschlüsselte Webseite erfolgt. Das Zertifikat dieser Webseite laute auf die Stadt Zürich und könne im Internet-Browser überprüft werden.

Über das "Schloss"-Symbol in der Adresszeile werden Details zur Verschlüsselung angezeigt. (Source: Screenshot stadt-zuerich.ch)

Auch nach der Umstellung sei es weiterhin möglich, die Busse auch beim Polizeiposten oder bei einer Polizistin auf der Strasse gegen Abgabe einer Quittung zu bezahlen. Wer abwarte, erhalte die Busse zudem als physische Post zugestellt.

Warum wurde überhaupt umgestellt?

Die Neuerung soll laut Stadtpolizei die "Kommunikation mit den Bürgerinnen und Bürgern erleichtern". Auch habe sie zum Ziel, den administrativen Aufwand zu reduzieren.

So müssten die Bussen-Daten und Personalien von Handzetteln nicht mehr ins Computer-System abgetippt werden. Die Digitalisierung kann zudem interne Abläufe wie die Rapportierung von bestimmten Fällen automatisieren und mehrheitlich papierlos gestalten.

Wie viel Aufwand angesichts der Beschaffungskosten von rund 140'000 Franken eingespart werden kann, lässt sich heute laut Polizei-Medienstelle noch nicht genau beziffern. Betroffen sei jedoch höchstens eine Stelle.

Betrug mit gefälschten Bussen ist strafbar

Die Fälschung von Übertretungsanzeige-Dokumenten ist strafbar. Welche Straftatbestände in Frage kommen, muss im Einzelfall angeschaut werden. Möglich sind laut Stadtpolizei Betrug, betrügerischer Missbrauch von Datenverarbeitungsanlagen, Amtsanmassung oder ein Verstoss gegen das Wappenschutzgesetz.

Dieser Artikel erschien zuerst am 2. März 2020 auf watson.ch.